test
Menu
close
INES Logo
5. November 2024

Security Newsletter 10/2024

Home » News » Security Newsletter 10/2024
alle News

Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Oktober 2024 für Sie zusammengefasst.

  1. Event | Unser kostenloses Cybersecurity-Event im Gasthof Raspl
  2. Datenschutz | Neue EDSA-Leitlinien zur Interessenabwägung
  3. Informationssicherheit | NIS2-Betroffenheitschecker des BSI wurde aktualisiert
  4. Datenschutz | US-Konzerne Meta und LinkedIn müssen Bußgeld in Millionenhöhe zahlen
  5. Informationssicherheit | Verbraucherumfrage des BSI zu Login-Option Passkeys
  6. Datenschutz | Ergebnis der Webseitenprüfung durch Datenschutzaufsicht Sachsen
  7. Informationssicherheit| Veröffentlichung Management-Blitzlicht zum "Cyber Resilience Act"
  8. Datenschutz | Urteil des EuGH in der Rechtssache C-21/23 - Lindenapotheke
  9. Informationssicherheit | Cyberangriffe im Oktober
  10. INES IT | 35 Jahre INES IT - Das Gründerehepaar im Interview

EVENT

Sichern Sie sich Ihren Platz bei unserem exklusiven Cybersecurity-Event in Unterneukirchen

Unser Event "Cybersecurity im Jahr 2025" am Donnerstag, den 21. November 2024 (9-13 Uhr) in Unterneukirchen steht kurz bevor und es sind nur noch wenige Plätze verfügbar. Sichern Sie sich am besten gleich noch einen der limitierten Plätze und profitieren Sie von unserem Cybersecurity-Wissen!

Darum sollten Sie teilnehmen:

  • Wertvolle Einblicke: Sie erhalten Einblicke von Fachleuten, wie Sie Ihr Unternehmen effektiv vor Cyberangriffen schützen können.
  • Networking: Vernetzen Sie sich mit Gleichgesinnten und Fachleuten aus der Region.
  • Kostenloses Mittagessen: Genießen Sie ein gemeinsames Mittagessen und anregende Gespräche in entspannter Atmosphäre.
JETZT KOSTENLOS ANMELDEN

DATENSCHUTZ

Neue EDSA-Leitlinien zur Interessenabwägung

Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober 2024 neue Leitlinien angenommen und damit die Interessenabwägung nach Art.6 Abs.1 lit.f DSGVO festgelegt. Diese neuen Leitlinien der EDSA geben anhand konkreter Beispiele detaillierte Anleitungen, wie die Verarbeitung personenbezogener Daten von Kindern oder zum Zweck des Direktmarketings durchgeführt werden können. Zudem werden die Betroffenenrechte in Bezug auf Art.6 Abs.1 lit.f DSGVO beleuchtet. 

INFORMATIONSSICHERHEIT

NIS2-Betroffenheitschecker des BSI wurde aktualisiert

Das BSI hat die NIS2-Betroffenheitsprüfung auf seiner Webseite entsprechend dem aktuellen Stand des deutschen Gesetzesentwurfs (NIS2UmsuCG) angepasst. Sobald das finale Umsetzungsgesetz, voraussichtlich im März 2025, in Kraft tritt, wird eine weitere Anpassung und Aktualisierung erfolgen. Sie erhalten mit dem Checker eine erste Orientierungshilfe zur Feststellung der eigenen Betroffenheit.

Aufgrund der komplexen Vorgaben ist aber eine gründliche individuelle Betroffenheitsanalyse durch Experten unerlässlich, da häufig mehrere oder auch granulare Kriterien greifen. Gerne begleiten wir Sie von der Betroffenheitsüberprüfung bis zur gesetzeskonformen Umsetzung. Nehmen Sie auch gerne an unserem kostenlosen Event im November teil oder buchen Sie einen unverbindlichen Erstberatungstermin.

KOSTENLOSEN TERMIN VEREINBAREN

DATENSCHUTZ

US-Konzerne Meta und LinkedIn müssen Bußgeld in Millionenhöhe zahlen

Die beiden kürzlich veröffentlichten Entscheidungen der irischen Aufsichtsbehörde (DPC) zeigen, dass selbst die größten Unternehmen weltweit nicht vor Fehlern und Strafen gefeit sind. So muss Meta, Mutterkonzern von Facebook, für einen vermeidbaren Vorfall aus dem Jahr 2019 ein Bußgeld in Höhe von 91 Millionen Euro zahlen. Der Grund dafür ist eine unverschlüsselte Speicherung von Millionen von User-Passwörtern im Klartext. Die Entscheidung der Behörde beruhte auf einer Verletzung der Meldepflicht und einer nicht ausreichenden internen Dokumentation. Die DPC hätte umgehend über das Datenleck informiert werden müssen. Besorgniserregend ist hierbei, dass nicht nur tausende Meta-Mitarbeitende Zugriff auf die sensiblen Daten hatten, sondern das auch viele Nutzer andere Online-Dienste mit ihren Meta-Accounts verknüpft haben.

Außerdem verhängte die DPC eine 310 Millionen Euro Strafe gegen die Netzwerk-Plattform LinkedIn, da die Behörde verschiedene Verstöße gegen die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung festgestellt hat. Laut DPA wurden personenbezogene Daten ohne rechtmäßige Grundlage analysiert und mit Drittdaten zusammengeführt. Diese Datenverarbeitung wurde durch LinkedIn auf eine Einwilligung gestützt, die nach Auffassung der DPC weder freiwillig noch ausreichend informativ war. Auch die durch LinkedIn eingebrachte Berufung auf berechtigte Interessen und die notwendige Datenverarbeitung zur Erfüllung eines Vertrags, wurden als unzulässig eingestuft. Darüber hinaus sah die DPC Verstöße gegen die Informationspflichten gemäß Artikel 13 und 14 DSGVO sowie gegen den Grundsatz der Fairness. Die DPC ist die zuständige Aufsichtsbehörde, weil LinkedIn und Meta ihren europäischen Hauptsitz in Irland haben. 

INFORMATIONSSICHERHEIT

Verbraucherumfrage zeigt: Login-Option Passkeys findet Zuspruch, doch Bekanntheit ist noch gering

Wir weisen immer wieder darauf hin, dass ein gutes Passwortmanagement heutzutage keine Kür sondern Pflicht ist. Leicht entschlüsselbare Nutzernamen-Passwort-Kombinationen sind ein einfaches Einfallstor für Cyberkriminelle. Auch eine aktuelle Verbraucherbefragung des BSI beschäftigte sich mit dem Thema Authentisierung. Die Umfrage beleuchtete die Bekanntheit und Akzeptanz einer alternativen Login-Methode: sogenannten Passkeys, die laut dem BSI ein deutlich höheres Sicherheitsniveau als herkömmliche Verfahren bieten. Wenn von Passkeys die Rede ist, ist damit ein modernes passwortloses Anmelden gemeint. Beim Login wird zunächst bestätigt, dass es tatsächlich Ihr Benutzerkonto ist, anstatt wie gewohnt das Passwort einzugeben. Der Passkey kann einmalig unkompliziert in den Sicherheitseinstellungen der Webseite oder der App eingerichtet werden.

Die Ergebnisse der Studie zeigen unter anderem, dass 18% der Befragten dieses Anmeldeverfahren bereits als nutzerfreundliche Alternative zu Passwörtern nutzen. Gleichzeitig offenbart die Studie aber auch, dass den meisten Verbrauchern die Vorteile von Passkeys noch nicht bekannt sind und der Begriff noch als fremdempfunden wird. Online-Dienste und Technologie-Anbieter sollten die Passkeys daher stärker bewerben. Bei Fragen rund um das  Thema Passwortmanagement oder Passkeys können Sie jederzeit auf uns zukommen.

DATENSCHUTZ

Ergebnis der umfassenden Webseitenprüfung durch Datenschutzaufsicht Sachsen im Juni 2024

In unserer Juni-Ausgabe haben wir Sie über die unangekündigte Prüfung von 30.000 Internetauftritten durch die Datenschutzaufsicht Sachsen informiert. Nun wurde Ende Oktober 2024 das Prüfergebnis veröffentlicht. Gerade die Information, dass zwei Drittel der betroffenen Webauftritte zukünftig auf Google Analytics verzichten bzw. den Dienst jetzt konform einbinden zeigt, dass die verantwortlichen Stellen bisher vermutlich nur unzureichend über den Status ihrer Analysedienste informiert waren. Ein zuverlässiger Report des eigenen Webauftritts ist ein wichtiger Baustein, um Risiken zu erkennen und bewusste Risikoentscheidungen zu treffen. Gerne können wir Sie hierzu beraten. 

INFORMATIONSSICHERHEIT

BSI veröffentlicht neues Management-Blitzlicht zum "Cyber Resilience Act"

Die neue Publikation des BSI fasst wissenswerte Informationen über den voraussichtlich Ende 2024 in Kraft tretenden "Cyber Resilience Act" prägnant auf drei Seiten zusammen. Häufig gestellte Fragen zur Betroffenheit und zur Vorgehensweise bei der Umsetzung werden darin - nicht nur für Führungskräfte - leicht verständlich beantwortet. Wir sprechen eine klare Empfehlung für diese Publikationsreihe aus, da sie diverse Aspekte aktueller Cybersicherheits-Themen kompakt auf den Punkt bringt.

DATENSCHUTZ

Urteil des EuGH in der Rechtssache C-21/23 - Lindenapotheke

Mit seinem Urteil vom 4. Oktober 2024 bestätigt der EuGH in der Rechtssache Lindenapotheke das Recht von Wettbewerbern, Verstöße gegen die DSGVO abzumahnen und definiert zudem, was unter Gesundheitsdaten zu verstehen ist. 

Zum Hintergrund dieses Falls: Eine Apotheke verkaufte rezeptfreie, aber apothekenpflichtige Medikamente über die Online-Plattform Amazon. Ein Wettbewerber reichte Klage ein, da nach seiner Auffassung ein Datenschutzverstoß vorlag. Die bei der Bestellung notwendigen Daten wie Name, Lieferadresse und Medikamente stellen aus Sicht der klagenden Apotheke Gesundheitsdaten im Sinne des Art.9 DSGVO dar, die ohne Einwilligung der Kunden verarbeitet wurden. 

Der EuGH stellte klar, dass Wettbewerber, die durch einen Verstoß benachteiligt werden, gegen den mutmaßlichen Täter rechtliche Schritte einleiten können, auch wenn sie in Bezug auf die Verarbeitungsvorgänge Dritte sind. Neben Betroffenen und Aufsichtsbehörden können Wettbewerber damit zivilrechtliche Verfahren einleiten. Weiter stellte der EuGH fest, dass die beim Kauf von nicht verschreibungspflichtigen Medikamenten erhobenen Daten wie Name, Lieferadresse und Produktdetails im Sinne der DSGVO als Gesundheitsdaten nach Artikel 9 DSGVO gelten. Eine Rechtsgrundlage kann damit nur über eine ausdrückliche Einwilligung des Kunden geschaffen werden. 

INFORMATIONSSICHERHEIT

Cyberangriffe im Oktober

Viele Internetnutzer vertrauen beim privaten E-Mailverkehr auf die Anbieter Web.de oder GMX.de. Die unerwünschte Spam-Flut hat auch bei diesen Portalen in den letzten Jahren enorm zugenommen. In einer Mitteilung gaben sie bekannt, dass mithilfe von KI im dritten Quartal 2024 wöchentlich rund 1,9 Milliarden potenziell gefährliche Mails aus dem Nachrichtenstrom herausgefiltert werden konnten. Die sogenannte verschärfte "Reject and Defer Policy" ermöglicht es, verdächtige E-Mails bereits beim Verbindungsaufbau abzulehnen. So gelingt es ihnen beeindruckende 99,9% Prozent der Spam-Mails im Vorfeld abzufangen. 

VERBANDSGEMEINDE ELBE-HEIDE IM LANDKREIS BÖRDE

Diesen Monat erfolgte ein Cyberangriff auf die Verbandsgemeinde Elbe-Heide im Landkreis Börde. Die Systeme der Verwaltung wurden umgehend vorsorglich heruntergefahren. Aufgrund des Offline-Modus waren die digitalen Dienste der Gemeinde nicht nutzbar. Es konnte nur telefoniert und Formulare analog ausgefüllt werden. Das Infrastrukturministerium Sachsen-Anhalt kündigte an, sich bei den Kosten zur Behebung des Problems zu beteiligen.

SCHUMAG AG

Ein Cyberangriff hat den weltweit bekannten Präzisionsteilhersteller Schumag AG aus Aachen in die Knie gezwungen. Das bereits angeschlagene Traditionsunternehmen musste Insolvenz anmelden, da es sich nicht mehr von dem Cyberangriff am 22. September 2024 erholen konnte. Die dadurch unerwarteten Produktionsausfälle und Verzögerungen bei den Einnahmen führten zu Liquiditätslücken, die in der kurzen Zeit neben den laufenden Reparaturprozessen nicht geschlossen werden konnten.

JOHANNISSTIFT DIAKONIE

Die Johannisstift Diakonie, die deutschlandweit zahlreiche Gesundheits- und Sozialeinrichtungen betreibt, wurde diesen Monat auch Opfer eines Angriffs. Der Crypto-Überfall fand in den frühen Morgenstunden des 13. Oktober statt. Alle zentralen Server wurden dabei verschlüsselt. Dank der vorhandenen Notfallkonzepte konnte der Betrieb aber weitgehend weiterlaufen. Auf der eigenen Webseite informiert das Unternehmen detailliert und transparent über den aktuellen Stand der Bewältigung.

HUBERGROUP

Auch den weltweit führenden Druckfarbenhersteller Hubergroup hat es diesen Monat getroffen. Der Malware-Angriff führte zu Beeinträchtigungen einzelner, regionaler IT-Systeme. Die vorhandenen Sicherheitssysteme konnten aufgrund sofortiger Reaktion schlimmeres verhindern. Zeitweise kommt es zu Einschränkungen und Verzögerungen bei der Produktion und der Auslieferung. 

BRILLEN.DE

Ein Datenleck bei dem deutschen Online-Discounter Brillen.de führte dazu, dass europaweit mehr als 3,5 Millionen Kundendaten ungeschützt im Netz zugänglich waren. Die Ursache hierfür war eine unzureichende Authentifizierung für den Zugriff auf ein Elasticsearch-Cluster. Nach der Kenntnisnahme des Lecks sperrte das Unternehmen den Datenzugang sofort. Es bleibt aber unklar, wie lange die Daten allgemein zugänglich waren.

INTERNET ARCHIVE

Bereits seit mehreren Wochen wird das Internet Archive, das kurzlebige Daten wie Webseiten oder Apps für die Nachwelt aufbewahrt, von Unbekannten attackiert. Diese konnten sich Zugriff auf die Systeme verschaffen und dadurch 30 Millionen Nutzerdaten entwenden sowie massenhaft E-Mails an die Kontakte versenden. Während das bekannteste Tool, die "Wayback Machine" inzwischen wieder verfügbar ist, sind andere Angebote weiterhin offline.

INES IT

Firmenjubiläum - 35 Jahre INES IT

Zum Abschluss unserer Oktober-Ausgabe möchten wir Sie noch auf unser Interview mit dem Gründerehepaar von INES IT anlässlich unseres 35-jährigen Firmenjubiläums aufmerksam machen. In dem Interview geben Christa und Willi Wiesenbauer Einblicke in die Firmengeschichte und ihre persönlichen Erlebnisse in den letzten Jahrzehnten. Auch wenn der Beitrag thematisch nicht ganz in den Themenbereich IT-Security fällt, könnte es für Sie dennoch interessant sein, mehr über unsere Entwicklung zu erfahren. Lesen Sie gerne rein!

ZUM INTERVIEW
35 Jahre INES IT 2024

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News

Newsletter Anmeldung

Mit dem INES IT Newsletter erhalten Sie jeden Monat die neuesten Infos.
INES IT  Informationssicherheit 




Kontakt und mehr